Sdílet prostřednictvím


Správa tajných kódů pro nasazení operací Azure IoT

Operace Azure IoT používají Azure Key Vault jako řešení spravovaného trezoru v cloudu a k synchronizaci tajných kódů z cloudu používá rozšíření Azure Key Vault Secret Store pro Kubernetes a ukládá je na hraničních zařízeních jako tajné kódy Kubernetes.

Požadavky

  • Instance provozu Azure IoT nasazená se zabezpečeným nastavením Pokud jste nasadili operace Azure IoT s testovacím nastavením a teď chcete používat tajné kódy, musíte nejprve povolit zabezpečená nastavení.

  • Vytváření tajných kódů v trezoru klíčů vyžaduje oprávnění správce tajných kódů na úrovni prostředků. Informace o přiřazování rolí uživatelům najdete v tématu Postup přiřazení role Azure.

Přidání a používání tajných kódů

Správa tajných kódů pro operace Azure IoT používá rozšíření Úložiště tajných kódů k synchronizaci tajných kódů ze služby Azure Key Vault a jejich ukládání na hraničních zařízeních jako tajné kódy Kubernetes. Pokud jste během nasazování povolili zabezpečené nastavení, vybrali jste pro správu tajných kódů službu Azure Key Vault. Nachází se v této službě Key Vault, kde se ukládají všechny tajné kódy, které se mají používat v rámci operací Azure IoT.

Poznámka:

Instance operací Azure IoT pracují pouze s jednou službou Azure Key Vault, více trezorů klíčů na instanci se nepodporuje.

Po dokončení kroků správy tajných kódů můžete začít přidávat tajné kódy do služby Azure Key Vault a synchronizovat je s hraničními body, které se použijí v koncových bodech prostředků nebo koncových bodech toku dat pomocí webového uživatelského rozhraní provozního prostředí.

Tajné kódy se používají v koncových bodech prostředků a koncových bodech toku dat k ověřování. V této části používáme koncové body prostředků jako příklad, to samé je možné použít u koncových bodů toku dat. Máte možnost přímo vytvořit tajný klíč ve službě Azure Key Vault a automaticky ho synchronizovat s hraničním zařízením nebo použít existující odkaz na tajný kód z trezoru klíčů:

Snímek obrazovky znázorňující přidání ze služby Azure Key Vault a vytvoření nových možností při výběru tajného kódu v provozním prostředí

  • Vytvořte nový tajný klíč: vytvoří ve službě Azure Key Vault odkaz na tajný kód a automaticky synchronizuje tajný kód až na hraniční zařízení pomocí rozšíření Úložiště tajných kódů. Tuto možnost použijte, pokud jste předem nevytvořili tajný klíč, který pro tento scénář vyžadujete v trezoru klíčů.

  • Přidání ze služby Azure Key Vault: Synchronizuje existující tajný klíč v trezoru klíčů dolů na hraniční zařízení, pokud předtím nebyl synchronizován. Výběrem této možnosti se zobrazí seznam tajných odkazů ve vybraném trezoru klíčů. Tuto možnost použijte, pokud jste tajný kód vytvořili v trezoru klíčů předem.

Když přidáte odkazy na uživatelské jméno a heslo ke koncovým bodům prostředku nebo koncovým bodům toku dat, budete muset synchronizovaný tajný klíč pojmenovat. Tajné odkazy budou uloženy na hraničních zařízeních s tímto názvem jako jedním prostředkem. V příkladu z následujícího snímku obrazovky se odkazy na uživatelské jméno a heslo uloží na okraj jako edp1secrets.

Snímek obrazovky znázorňující pole synchronizovaného názvu tajného kódu, když je pro režim ověřování v provozním prostředí vybráno uživatelské heslo

Správa synchronizovaných tajných kódů

Ke správě synchronizovaných tajných kódů můžete použít správu tajných kódů pro koncové body prostředků a koncové body toku dat. Správa tajných kódů zobrazuje seznam všech aktuálních synchronizovaných tajných kódů na hraničních zařízeních pro prostředek, který si prohlížíte. Synchronizovaný tajný klíč představuje jeden nebo více tajných odkazů v závislosti na prostředku, který ho používá. Všechny operace použité u synchronizovaného tajného kódu se použijí na všechny tajné odkazy obsažené v synchronizovaném tajném kódu.

Synchronizované tajné kódy můžete odstranit i ve správě tajných kódů. Když odstraníte synchronizovaný tajný kód, odstraní se jenom synchronizovaný tajný klíč z hraničního zařízení a neodstraní se obsažené odkazy na tajné kódy z trezoru klíčů.

Poznámka:

Před odstraněním synchronizovaného tajného kódu se ujistěte, že se odeberou všechny odkazy na tajný klíč z komponent operací Azure IoT.